Sunday, September 15, 2024

แนวทางการจัดทำแผนฉุกเฉินด้านไอที (IT Contingency Plan) เพื่อรับมือกับเหตุการณ์วิกฤต

การจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) เป็นกระบวนการที่องค์กรต้องจัดเตรียมเพื่อให้สามารถดำเนินกิจการได้อย่างต่อเนื่องในกรณีที่เกิดเหตุการณ์ไม่คาดคิด เช่น การหยุดชะงักของระบบเทคโนโลยีสารสนเทศ (IT), ภัยธรรมชาติ, หรือการโจมตีทางไซเบอร์ ในส่วนของการจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับระบบ IT จำเป็นต้องมีการวางแผนฉุกเฉินที่มีความครอบคลุมเพื่อให้การให้บริการไม่สะดุด และลดความเสี่ยงที่จะส่งผลกระทบต่อธุรกิจหลักขององค์กร

อ่านมาถึงตรงนี้หลายคนน่าจะนึกในใจว่า "รู้แหละว่าสำคัญ แต่จะเริ่มยังไง?" ... ขอเสนอ 6 ขั้นตอนในการจัดทำแผนให้เป็นระบบครับ ;)))


1. เริ่มต้นด้วยการกำหนดว่าใครเป็นคนรับผิดชอบ

สิ่งสำคัญอันดับแรกในการจัดทำแผนฉุกเฉินด้าน IT คือ การจัดตั้งคณะทำงานที่รับผิดชอบในการจัดทำแผน ซึ่งควรประกอบไปด้วยผู้บริหารและบุคลากรจากหน่วยงานต่าง ๆ ที่เกี่ยวข้อง เพื่อให้แผนฉุกเฉินมีความครบถ้วน และสอดคล้องกับเป้าหมายและความต้องการขององค์กรอย่างแท้จริง

หลังจากทราบว่าใครต้องเป็นคนดำเนินการ ขั้นตอนต่อไปคือ การประเมินความเสี่ยง (Risk Analysis) เพื่อระบุเหตุการณ์ที่อาจทำให้กระบวนการและระบบ IT หยุดชะงัก การประเมินความเสี่ยงนี้จะช่วยให้องค์กรสามารถเตรียมการล่วงหน้า และจัดเตรียมแผนสำรองให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่องแม้ในสถานการณ์วิกฤต


2. การวิเคราะห์ผลกระทบทางธุรกิจ

การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) เป็นการศึกษาผลกระทบของระยะเวลาการหยุดชะงักของระบบงานต่าง ๆ ต่อกิจกรรมหลักที่สำคัญ เพื่อกำหนดระยะเวลาเป้าหมายสำหรับการกู้คืนระบบ (Recovery Time Objective: RTO) และการกู้คืนข้อมูล (Recovery Point Objective: RPO) รวมถึงการกำหนด ช่วงเวลาการหยุดชะงักที่ยอมรับได้สูงสุด (Maximum Tolerable Period of Disruption : MTPD)

โดยทั่วไป ควรกำหนดให้ RTO ไม่เกิน 2 ชั่วโมงสำหรับระบบ IT ที่สำคัญ และไม่เกิน 4 ชั่วโมงสำหรับระบบสนับสนุนอื่น ๆ ทั้งนี้หากไม่สามารถกู้คืนได้ตาม RTO ที่กำหนด ควรต้องมีวิธีการทำงานแบบ manual ที่ไม่กระทบต่อประสิทธิภาพของการดำเนินงาน


3. กลยุทธ์ในการจัดการความเสี่ยง

เมื่อเราทราบความเสี่ยง และผลกระทบทางธุรกิจแล้ว สิ่งสำคัญคือการกำหนดกลยุทธ์ในการจัดการความเสี่ยงนั้น ๆ  อย่างไรก็ตามกระบวนการทางธุรกิจแต่ละกระบวนการมีความสำคัญแตกต่างกัน การจัดลำดับความสำคัญของระบบ IT เพื่อให้ระบบที่สนับสนุนกระบวนการทางธุรกิจที่สำคัญสูงสุดได้รับการกู้คืนเป็นลำดับแรกเป็นสิ่งที่จำเป็น โดยองค์กรจะต้องระบุทรัพยากรที่จำเป็นต่อการดำเนินงานทางธุรกิจ เช่น ฮาร์ดแวร์, ซอฟต์แวร์, ข้อมูล รวมถึงคุณสมบัติขั้นต่ำของระบบ IT เพื่อให้การกู้คืนสามารถทำได้อย่างมีประสิทธิภาพ


4. การจัดทำแผนฉุกเฉิน (Business continuity plan: BCP)

กลยุทธ์ในการจัดการความเสี่ยงมีหลายรูปแบบทั้งในเชิงป้องกัน เพื่อไม่ให้เกิดเหตุการณ์นั้นขึ้น และแผนในการรับมือเมื่อกเกิดเหตุการณ์ แผนฉุกเฉิน หรือแผนความต่อเนื่องทางธุรกิจ (BCP) เป็นหนึ่งในกลยุทธ์ในการรับมือเมื่อเกิดเหตุการณ์ ในการจัดทำแผนควรพิจารณาเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้นได้มากที่สุด และคณะผู้ดำเนินการควรประกอบไปด้วยผู้บริหาร และบุคลากรจากหน่วยงานต่าง ๆ ที่เกี่ยวข้อง เพื่อให้แผนสามารถใช้งานได้จริง หัวข้อที่ต้องมีในแผนฯ คือ

  • ชื่อแผน
  • จุดมุ่งหมาย ขอบเขต และวัตถุประสงค์ของแผน
  • บทบาทหน้าที่ และความรับผิดชอบของผู้ที่เกี่ยวข้อง
  • กิจกรรม/สิ่งที่ต้องดำเนินการเมื่อมีการประกาศใช้แผน
  • ข้อมูลที่จำเป็น เช่น เกณฑ์ในการประกาศใช้แผน, ขั้นตอนการดำเนินงาน, การประสานงาน และการสื่อสาร (Call tree)
  • ทรัพยากรณ์ที่จำเป็น
  • ข้อกำหนดในการรายงาน
  • ฯลฯ
โดยทั่วไปแผนควรต้องถูกจัดทำอย่างเป็นลายลักษณ์อักษรและได้รับการอนุมัติจากผู้บริหาร การอนุมัติแผนช่วยยืนยันว่าแผนดังกล่าวได้ผ่านการพิจารณาอย่างละเอียดถี่ถ้วนและเป็นที่ยอมรับของผู้บริหารระดับสูง

ปัญหาที่มักเจอในการจัดทำแผนคือเกณฑ์ในการประกาศใช้แผน ลองอ่าน >> แนวทางการตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต ที่ปรับจากของ กรุงเทพฯ ดูครับเผื่อได้แนว


5. การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

เพื่อให้แน่ใจว่าการกู้คืนระบบ สามารถดำเนินการได้ตามเป้าหมายที่กำหนด นอกจากองค์กรจะต้องมีการเตรียมความพร้อมของระบบสำรอง และทรัพยากรที่จำเป็น เช่น ศูนย์คอมพิวเตอร์สำรอง (Disaster Recovery Site) และการสำรองข้อมูลแล้ว การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจเป็นสิ่งจำเป็นอย่างยิ่ง การซ้อมแผนเป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   

โดยทั่วไปควรมีการฝึกซ้อมอย่างน้อย 1 ครั้งต่อปี อยากรู้ว่าการซ้อมมีกี่แบบอ่านต่อบทความนี้ได้นะครับ >> BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ


6. การสื่อสารและการรายงานผล

การสื่อสารแผนฉุกเฉิน ให้กับพนักงานทุกคนที่เกี่ยวข้องเป็นอีกส่วนสำคัญที่ไม่ควรมองข้าม เพื่อให้ทุกคนควรมีความเข้าใจและสามารถปฏิบัติตามแผนได้อย่างถูกต้อง นอกจากนี้ การทดสอบแผนฉุกเฉินควรต้องมีการรายงานผลการทดสอบต่อผู้บริหารที่เกี่ยวข้อง เพื่อให้เกิดการพัฒนาปรับปรุงแผนให้มีความสมบูรณ์มากยิ่งขึ้น

No comments:

Post a Comment

Recent Posts